Los sitios de WordPress están siendo atacados por una variedad previamente desconocida de malware de Linux que aprovecha las fallas en más de dos docenas de complementos y temas para comprometer los sistemas vulnerables.
“Si los sitios usan versiones desactualizadas de dichos complementos, que carecen de correcciones cruciales, las páginas web seleccionadas se inyectan con JavaScripts maliciosos”, dijo el proveedor de seguridad ruso Doctor Web. dijo en un informe publicado la semana pasada. “Como resultado, cuando los usuarios hacen clic en cualquier área de una página atacada, son redirigidos a otros sitios”.
Los ataques implican armar una lista de vulnerabilidades de seguridad conocidas en 19 complementos y temas diferentes que probablemente estén instalados en un sitio de WordPress, usándolo para implementar un implante que puede apuntar a un sitio web específico para expandir aún más la red.
También es capaz de inyectar código JavaScript recuperado de un servidor remoto para redirigir a los visitantes del sitio a un sitio web arbitrario elegido por el atacante.
Doctor Web dijo que identificó una segunda versión de la puerta trasera, que utiliza un nuevo dominio de comando y control (C2), así como una lista actualizada de fallas que abarca 11 complementos adicionales, lo que eleva el total a 30.
Los complementos y temas específicos están a continuación:
- Soporte de chat en vivo de WP
- Publicaciones relacionadas
- Editor de estilo visual CSS de lápiz amarillo
- Sencillo WP SMTP
- Cumplimiento del RGPD de WP
- Periódico (CVE-2016-10972)
- Thim Core
- Insertador de código inteligente de Google (interrumpido al 28 de enero de 2022)
- Donaciones totales
- Publicar plantillas personalizadas Lite
- Administrador de reservas rápidas de WP
- Chat en vivo con Messenger Customer Chat de Zotabox
- Diseñador de blogs
- Preguntas frecuentes de WordPress Ultimate (CVE-2019-17232 y CVE-2019-17233)
- Integración WP-Matomo (WP-Piwik)
- Códigos cortos ND
- Chat en vivo de WP
- Próximamente página y modo de mantenimiento
- Híbrido
- brillante
- Reproductor de vídeo FV Flowplayer
- WooCommerce
- Próximamente página y modo de mantenimiento
- un tono
- Campos simples
- Deluces SEO
- Creador de encuestas, encuestas, formularios y cuestionarios de OpinionStage
- Rastreador de métricas sociales
- WPeMatico RSS Feed Fetcher, y
- Reseñas ricas
Se dice que ambas variantes incluyen un método no implementado para forzar cuentas de administrador de WordPress, aunque no está claro si es un remanente de una versión anterior o una funcionalidad que aún no ha visto la luz.
“Si se implementa tal opción en las versiones más nuevas de la puerta trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de esos sitios web que usan versiones actuales de complementos con vulnerabilidades parcheadas”, dijo la compañía.
Se recomienda a los usuarios de WordPress que mantengan actualizados todos los componentes de la plataforma, incluidos los complementos y temas de terceros. También se recomienda utilizar nombres de usuario y contraseñas sólidos y únicos para proteger sus cuentas.
La divulgación se produce semanas después de que Fortinet FortiGuard Labs detallara otra red de bots llamada GoTrim que está diseñada para forzar sitios web alojados por fuerza bruta utilizando el sistema de administración de contenido (CMS) de WordPress para tomar el control de los sistemas específicos.
El mes pasado, Sucuri notó que más de 15,000 sitios de WordPress habían sido violados como parte de una campaña maliciosa para redirigir a los visitantes a portales de preguntas y respuestas falsos. El número de infecciones activas. actualmente se encuentra en 9.314.
La empresa de seguridad de sitios web propiedad de GoDaddy, en junio de 2022, también compartió información sobre un sistema de dirección de tráfico (TDS) conocido como Parrot que se ha observado apuntando a sitios de WordPress con JavaScript no autorizado que arroja malware adicional en sistemas pirateados.